UEBA und seine Rolle bei der Reaktion auf Vorfälle verstehen

Veröffentlicht: 2021-09-16

Sicherheitslücken werden in der digitalen Welt immer häufiger. UEBA hilft Organisationen, diese Vorfälle zu erkennen und darauf zu reagieren.

User and Entity Behavior Analytics (UEBA) war früher als User Behavior Analytics (UBA) bekannt. Es handelt sich um eine Cybersicherheitslösung, die mithilfe von Analysen ein Verständnis dafür gewinnt, wie sich Benutzer (Menschen) und Einheiten (vernetzte Geräte und Server) in einer Organisation normalerweise verhalten, um anomale Aktivitäten in Echtzeit zu erkennen und darauf zu reagieren.

UEBA kann Sicherheitsanalysten bei riskanten Variationen und verdächtigem Verhalten identifizieren und warnen, die auf Folgendes hinweisen könnten:

  • Seitliche Bewegung
  • Missbrauch von privilegierten Konten
  • Privilegieneskalation
  • Kompromiss der Zugangsdaten oder
  • Insider-Bedrohungen

UEBA bewertet außerdem das Bedrohungsniveau und stellt eine Risikobewertung bereit, die bei der Festlegung einer angemessenen Reaktion helfen kann.

Lesen Sie weiter, um zu erfahren, wie UEBA funktioniert, warum Unternehmen auf UEBA umsteigen, die wichtigsten Komponenten von UEBA, die Rolle von UEBA bei der Reaktion auf Vorfälle und Best Practices von UEBA.

Wie funktioniert die Verhaltensanalyse von Benutzern und Entitäten?

Die Verhaltensanalyse von Benutzern und Entitäten sammelt zunächst Informationen über das erwartete Verhalten der Personen und Maschinen in Ihrem Unternehmen aus Datenrepositorys wie einem Data Lake, einem Data Warehouse oder über SIEM.

UEBA verwendet dann fortschrittliche Analyseansätze, um diese Informationen zu verarbeiten, um eine Grundlinie von Verhaltensmustern zu bestimmen und weiter zu definieren: wo sich ein Mitarbeiter anmeldet, seine Berechtigungsebene, Dateien, Server, auf die er häufig zugreift, Zeit und Häufigkeit des Zugriffs und Geräte, für die er verwendet wird Zugriff.

UEBA überwacht dann kontinuierlich Benutzer- und Entitätsaktivitäten, vergleicht sie mit dem Basisverhalten und entscheidet, welche Aktionen zu einem Angriff führen könnten.

UEBA kann wissen, wann ein Benutzer seinen normalen Aktivitäten nachgeht und wann ein Angriff stattfindet. Obwohl ein Hacker möglicherweise auf die Anmeldedaten eines Mitarbeiters zugreifen kann, kann er deren normale Aktivitäten und sein Verhalten nicht nachahmen.

Eine UEBA-Lösung besteht aus drei Hauptkomponenten:

Datenanalyse: UEBA sammelt und organisiert Daten von Benutzern und Entitäten, um ein Standardprofil über das typische Verhalten jedes Benutzers zu erstellen. Anschließend werden statistische Modelle formuliert und angewendet, um anomale Aktivitäten zu erkennen und das Sicherheitsteam zu alarmieren.

Datenintegration: Um das System widerstandsfähiger zu machen, vergleicht UEBA Daten aus verschiedenen Quellen – wie Systemprotokolle, Paketerfassungsdaten und andere Datensätze – mit Daten, die von bestehenden Sicherheitssystemen gesammelt wurden.

Datenpräsentation : Prozess, durch den das UEBA-System seine Ergebnisse und die entsprechende Reaktion kommuniziert. Dieser Prozess beinhaltet in der Regel eine Aufforderung an die Sicherheitsanalysten, ungewöhnliches Verhalten zu untersuchen.

Die Rolle der UEBA bei der Reaktion auf Vorfälle

Die Verhaltensanalyse von Benutzern und Entitäten verwendet maschinelles Lernen und Deep Learning, um das übliche Verhalten von Menschen und Maschinen in Ihrem Unternehmen zu überwachen und zu analysieren.

Wenn eine Abweichung vom regulären Muster vorliegt, erkennt das UEBA-System dies und führt eine Analyse durch, die feststellt, ob das ungewöhnliche Verhalten eine echte Bedrohung darstellt oder nicht.

UEBA nimmt Daten aus verschiedenen Protokollquellen wie einer Datenbank, Windows AD, VPN, Proxy, Badge, Dateien und Endpunkten auf, um diese Analyse durchzuführen. Anhand dieser Eingaben und des erlernten Verhaltens kann UEBA die Informationen zusammenführen, um eine endgültige Bewertung für die Risikoeinstufung zu erstellen und einen detaillierten Bericht an die Sicherheitsanalysten zu senden.

UEBA kann sich beispielsweise einen Mitarbeiter ansehen, der zum ersten Mal über VPN aus Afrika kommt. Nur weil das Verhalten des Mitarbeiters anormal ist, bedeutet das nicht, dass es eine Bedrohung ist; der Benutzer kann einfach auf Reisen sein. Greift jedoch derselbe Mitarbeiter der Personalabteilung plötzlich auf das Finanz-Subnetz zu, erkennt UEBA die Aktivitäten des Mitarbeiters als verdächtig und alarmiert das Sicherheitsteam.

Hier ist ein weiteres vergleichbares Szenario.

Harry, ein Angestellter des Mount Sinai Hospital in New York, ist verzweifelt nach Geld. An diesem besonderen Tag wartet Harry darauf, dass alle das Büro verlassen, und lädt dann um 19:00 Uhr sensible Patientendaten auf ein USB-Gerät herunter. Die gestohlenen Daten will er für einen hohen Dollar auf dem Schwarzmarkt verkaufen.

Glücklicherweise verwendet das Mount Sinai Hospital eine UEBA-Lösung, die das Verhalten jedes Benutzers und jeder Einheit innerhalb des Krankenhausnetzwerks überwacht.

Obwohl Harry berechtigt ist, auf Patientendaten zuzugreifen, erhöht das UEBA-System seine Risikobewertung, wenn es eine Abweichung von seinen üblichen Aktivitäten erkennt, die normalerweise das Anzeigen, Erstellen und Bearbeiten von Patientenakten zwischen 9 und 17 Uhr umfassen.

Als Harry um 19 Uhr versucht, auf die Informationen zuzugreifen, erkennt das System Muster- und Timing-Unregelmäßigkeiten und weist eine Risikobewertung zu.

Sie können Ihr UEBA-System so einrichten, dass es einfach eine Warnung für das Sicherheitsteam erstellt, um weitere Untersuchungen vorzuschlagen, oder Sie können es so einrichten, dass es sofort Maßnahmen ergreift, z. B. die Netzwerkverbindung für diesen Mitarbeiter aufgrund des vermuteten Cyberangriffs automatisch abschaltet.

Brauche ich eine UEBA-Lösung?

Eine UEBA-Lösung ist für Unternehmen unabdingbar, da Hacker immer ausgeklügeltere Angriffe durchführen, die immer schwieriger zu erkennen sind. Dies gilt insbesondere in Fällen, in denen die Bedrohung von innen kommt.

Laut aktuellen Cybersicherheitsstatistiken sind weltweit mehr als 34 % der Unternehmen von Insider-Bedrohungen betroffen. Darüber hinaus sagen 85 % der Unternehmen, dass es schwierig ist, die tatsächlichen Kosten eines Insiderangriffs zu quantifizieren.

Infolgedessen verlagern sich Sicherheitsteams auf neuere Erkennungs- und Incident Response (IR)-Ansätze. Um ihre Sicherheitssysteme auszubalancieren und zu verbessern, verschmelzen Sicherheitsanalysten Technologien wie User and Entity Behavior Analytics (UEBA) mit herkömmlichen SIEMs und anderen Legacy-Präventionssystemen.

UEBA bietet Ihnen im Vergleich zu anderen herkömmlichen Sicherheitslösungen ein leistungsfähigeres System zur Erkennung von Insider-Bedrohungen. Es überwacht nicht nur anormales menschliches Verhalten, sondern auch verdächtige seitliche Bewegungen. UEBA verfolgt auch Aktivitäten auf Ihren Cloud-Diensten, Mobilgeräten und Internet-of-Things-Geräten.

Ein ausgeklügeltes UEBA-System nimmt Daten aus allen verschiedenen Protokollquellen auf und erstellt einen detaillierten Bericht über den Angriff für Ihre Sicherheitsanalysten. Dies erspart Ihrem Sicherheitsteam das Durchforsten unzähliger Protokolle, um den tatsächlichen Schaden durch einen Angriff zu ermitteln.

Hier sind einige der vielen Anwendungsfälle von UEBA.

Top 6 UEBA-Anwendungsfälle

#1 . UEBA erkennt den Missbrauch von Insiderrechten, wenn Benutzer riskante Aktivitäten außerhalb des etablierten normalen Verhaltens ausführen.

#2. UEBA führt verdächtige Informationen aus verschiedenen Quellen zusammen, um eine Risikobewertung für das Risikoranking zu erstellen.

#3. UEBA führt eine Vorfallpriorisierung durch, indem es falsch positive Ergebnisse reduziert. Es beseitigt die Ermüdung von Warnmeldungen und ermöglicht es Sicherheitsteams, sich auf Warnmeldungen mit hohem Risiko zu konzentrieren.

#4. UEBA verhindert Datenverlust und Datenexfiltration, da das System Warnungen sendet, wenn es erkennt, dass sensible Daten innerhalb des Netzwerks verschoben oder aus dem Netzwerk übertragen werden.

#5 . UEBA hilft dabei, seitliche Bewegungen von Hackern innerhalb des Netzwerks zu erkennen, die möglicherweise die Zugangsdaten von Mitarbeitern gestohlen haben.

#6. UEBA bietet auch automatisierte Reaktion auf Vorfälle, sodass Sicherheitsteams in Echtzeit auf Sicherheitsvorfälle reagieren können.

Wie UEBA das UBA und Legacy-Sicherheitssysteme wie SIEM . verbessert

UEBA ersetzt keine anderen Sicherheitssysteme, stellt jedoch eine signifikante Verbesserung dar, die zusammen mit anderen Lösungen für eine effektivere Cybersicherheit verwendet wird. UEBA unterscheidet sich von User Behavior Analytics (UBA) dadurch, dass UEBA „Entitäten“ und „Ereignisse“ wie Server, Router und Endpunkte umfasst.

Eine UEBA-Lösung ist umfassender als UBA, da sie nichtmenschliche Prozesse und Maschineneinheiten überwacht, um Bedrohungen genauer zu identifizieren.

SIEM steht für Security Information and Event Management. Herkömmliches älteres SIEM ist möglicherweise nicht in der Lage, komplexe Bedrohungen selbst zu erkennen, da es nicht darauf ausgelegt ist, Bedrohungen in Echtzeit zu überwachen. Und wenn man bedenkt, dass Hacker oft einfache einmalige Angriffe vermeiden und stattdessen eine Kette ausgeklügelter Angriffe durchführen, können sie von herkömmlichen Tools zur Bedrohungserkennung wie SIEM wochen- oder sogar monatelang unentdeckt bleiben.

Eine ausgeklügelte UEBA-Lösung behebt diese Einschränkung. UEBA-Systeme analysieren die von SIEM gespeicherten Daten und arbeiten zusammen, um Bedrohungen in Echtzeit zu überwachen, sodass Sie schnell und mühelos auf Sicherheitsverletzungen reagieren können.

Daher können Unternehmen durch die Zusammenführung von UEBA- und SIEM-Tools viel effektiver bei der Erkennung und Analyse von Bedrohungen sein, Schwachstellen schnell beheben und Angriffe vermeiden.

Best Practices für die Verhaltensanalyse von Benutzern und Entitäten

Hier sind fünf Best Practices für die Analyse des Benutzerverhaltens, die Aufschluss darüber geben, was beim Erstellen einer Baseline für das Benutzerverhalten zu tun ist.

#1. Anwendungsfälle definieren

Definieren Sie die Anwendungsfälle, die Ihre UEBA-Lösung identifizieren soll. Dies können die Erkennung von Missbrauch von privilegierten Konten, die Kompromittierung von Zugangsdaten oder Bedrohungen durch Insider sein. Durch das Definieren von Anwendungsfällen können Sie bestimmen, welche Daten für die Überwachung erfasst werden sollen.

#2. Datenquellen definieren

Je mehr Datentypen Ihre UEBA-Systeme verarbeiten können, desto genauer wird das Baselining. Einige Datenquellen umfassen Systemprotokolle oder Personaldaten wie die Leistungshistorie der Mitarbeiter.

#3. Definieren Sie Verhaltensweisen, welche Daten gesammelt werden

Dies können die Arbeitszeiten der Mitarbeiter, Anwendungen und Geräte sein, auf die sie häufig zugreifen, sowie Tipprhythmen. Mit diesen Daten können Sie mögliche Gründe für falsch positive Ergebnisse besser verstehen.

#4. Legen Sie eine Dauer für die Erstellung der Baseline fest

Bei der Festlegung der Dauer Ihres Baseline-Zeitraums ist es wichtig, die Sicherheitsziele Ihres Unternehmens und die Aktivitäten der Benutzer zu berücksichtigen.

Die Baseline-Periode sollte nicht zu kurz oder zu lang sein. Dies liegt daran, dass Sie möglicherweise nicht die richtigen Informationen sammeln können, wenn Sie die Baseline-Dauer zu schnell beenden, was zu einer hohen Rate an falsch positiven Ergebnissen führt. Auf der anderen Seite können einige bösartige Aktivitäten als normal weitergegeben werden, wenn Sie zu lange brauchen, um die Basisinformationen zu sammeln.

#5. Aktualisieren Sie Ihre Basisdaten regelmäßig

Möglicherweise müssen Sie Ihre Basisdaten regelmäßig neu erstellen, da sich die Benutzer- und Entitätsaktivitäten ständig ändern. Ein Mitarbeiter kann befördert werden und seine Aufgaben und Projekte, seine Privilegien und Aktivitäten ändern. UEBA-Systeme können automatisch so eingestellt werden, dass sie Daten sammeln und die Basisdaten anpassen, wenn Änderungen auftreten.

Letzte Worte

Da wir zunehmend auf Technologie angewiesen sind, werden Cybersicherheitsbedrohungen komplexer. Ein großes Unternehmen muss seine Systeme mit sensiblen Daten seiner eigenen und seiner Kunden schützen, um groß angelegte Sicherheitsverletzungen zu vermeiden. UEBA bietet ein Echtzeit-Vorfallreaktionssystem, das Angriffe verhindern kann.